Bundestagswahl: Behörden kannten Lücken in Wahl-Software
Als Hacker die Sicherheitslücken der Wahl-Auswertungssoftware PC-Wahl enthüllten, wurden eilig Updates vom Entwickler eingefordert und Wahlleiter verschärften die Vorgaben für Gemeinden, um die Übermittlung der Stimmergebnisse abzusichern. Pikant ist allerdings: Behörden wussten schon vor den Berichten von den Schwachstellen.
Das geht aus der Antwort des Innenministeriums auf eine kleine Anfrage der Linken hervor, die Zeit Online vorliegt.
BSI empfahl Verbesserungen schon im März
Demnach warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im Frühjahr vor den Schwachstellen in PC-Wahl. Maßnahmen hatte die Behörde schon am 31. März empfohlen, um das „Sicherheitsniveau bei der Übermittlung vorläufiger Wahlergebnisse“ zu verbessern. Vorausgegangen war eine „intensive Zusammenarbeit“ mit Wahlleitern sowie dem Hersteller von PC-Wahl.
Zu den Maßnahmen zählt etwa der „Einsatz kryptografischer Schutzmaßnahmen“, sodass sich „ungewollte Veränderungen an der Software oder an den Wahldaten“ schnell erkennen lassen. Mittlerweile wurde die Software um entsprechende Updates ergänzt, die IT-Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC) sind mit der Umsetzung aber nicht zufrieden.
Der Darmstädter Informatiker Martin Tschirsich war der erste, der im Juli über die Probleme bei PC-Wahl gestolpert ist. Zusammen mit dem CCC erstellte er eine Analyse, die potentielle Angriffsmöglichkeiten aufzeigte. Zu den Schwachpunkten zählt etwa, dass in der ursprünglichen Version die Datenübertragung nicht abgesichert war. Die Ergebnisse hätten also verändert werden können, ohne dass zunächst jemand etwas merkt. Angreifbar war zudem noch der FTP-Server, über den die Software verteilt wird.
Updates mit zweifelhaften Erfolg
Seitdem die Hacker sich mit der Software auseinandersetzen, hat der Hersteller zwar Updates eingespielt. Doch die Qualität überzeugt noch nicht. So wäre etwa die neue Verschlüsselung etwa kein angemessener Schutz, um die „Authentizität der übertragenen Wahldaten sicherzustellen“, so Tschirisch gegenüber Zeit Online. Und obendrein könne man das Verfahren immer noch aushebeln. Ein weiterer Kritikpunkt ist, dass das Update für die Gemeinden nicht verpflichtend ist, sodass niemand wisse, ob es tatsächlich eingespielt werde.
Laut der Süddeutschen Zeitung lieferte der Hersteller am vergangenen Mittwoch noch zwei weitere Updates. Ob die ausreichen, um die Probleme zu beheben, ist aktuell aber noch nicht bekannt.
Angesichts der Vorgehensweise gibt es Kritik von der Opposition. Für Jan Korte von den Linken ist das Vorgehen „unverantwortlich“. Zeit Online sagte er: „Entweder sind die für die IT-Sicherheit zuständigen Behörden nicht in der Lage, selbst Sicherheitsmängel aufzudecken, oder es fehlt, trotz anders lautender Bekundungen, am nötigen Know-how und Problembewusstsein in diesen Institutionen.“
Künftig soll BSI die Wahlsoftware zertifizieren
Zumal die Probleme nicht nur bei PC-Wahl bestehen. Die Software steht im Mittelpunkt, weil sie diejenige ist, die laut Hersteller-Angaben am weitesten verbreitet ist. Eine Erkenntnis aus dem Schlamassel ist daher: Künftig soll die bei Wahlen eingesetzte Software sicherer werden. In einer Antwort auf eine Anfrage der Grünen schreibt die Bundesregierung, man wolle prüfen, ob künftig das BSI die Wahlsoftware zertifizieren muss. Über solche Rechtsänderungen müsse der Bundestag in der kommenden Legislaturperiode beraten.
Das Problem bei den Sicherheitslücken in PC-Wahl ist nicht, dass die finalen Wahlergebnisse angreifbar sind. Weil die Stimmabgabe auf Papier erfolgt, lassen sich die Ergebnisse mehrmals prüfen und gelten damit als sicher. Manipulierbar wäre aber die Übertragung der vorläufigen Ergebnisse, die am Wahlabend ab 18 Uhr präsentiert werden. Die Befürchtung ist: Sollte das finale Ergebnis stimmen, es bei den ersten Hochrechnungen aber zu starken Abweichungen kommen, könnte das schon ausreichen, um das Vertrauen in die Demokratie zu gefährden.
BSI-Präsident Arne Schönbohm sagte aber schon letzte Woche im Interview mit dem Handelsblatt, er sei zuversichtlich, dass die Lücken in PC-Wahl rechtzeitig geschlossen werden. Außerdem verwies er auf Maßnahmen der Wahlleiter. In Hessen wurden die Wahllokale etwa angewiesen, die übertragenen Stimmergebnisse doppelt zu prüfen.
Für Aufsehen sorgte Schönbohm aber noch mit der Aussage, der Bundestag sollte in der nächsten Legislaturperiode nicht nur über vom BSI zertifizierte Wahl-Software, sondern über elektrische Wahlen im Allgemeinen beraten. Einzelne Bereiche dürfe man bei der Digitalisierung nicht ausblenden, war die Begründung. IT-Sicherheitsexperten haben dafür aber nur wenig Verständnis. Der für Wahlen benötigte Schutz ließe sich sowohl bei Wahlcomputern als auch bei Online-Wahlen nicht gewährleisten.